AptitudeSystem 2.0（2017-03-07）

描写叙述：Windows内核研究辅助工具

支持的系统：Windows 7、Windows 8、Windows 8.1、Windows 10同一时候支持32位和64位的系统

測试过的系统：Windows 7（x86,x64）、Windows 8（x86,x64）、Windows 8.1（x86,x64）、Windows 10（x86,x64）

支持的功能：

1、软件多开。提供了几种不同的多开方案。

1.1、系统仅仅负责处理。须要你手动打开须要被多开的软件。

2、进程隐藏和恢复（必须在被隐藏的进程退出之前恢复被隐藏的进程）

3、动态窗体标题和窗体类名的改动（动态窗体类名的改动眼下仅支持Windows 7、Windows 8、Windows 8.1的32位和64位的系统）

4、软件反反调试

4.1、本系统已经处理好了全局调试权限和DebugPort的处理

4.2、进程的反反调试部分类似于32位的StrongOD（内核模式），增加了硬件断点反检測。

4.3、增加了指定驱动的反调试xx功能

4.4、恢复与调试相关的进程钩子

4.5、默觉得安全的调试模式（Safe Debug Mode），64位系统不须要过pg，但反反调试强度不够强。

4.6、对于已进行PatchGuard的64位系统，能够使用非安全调试模式。或对于没过PG的64位系统在安装并执行调试引擎后20分钟内停止并卸载调试引擎也能够。

调试引擎用法（必须依照顺序进行）：①加入列表信息。②先安装调试引擎，③后启动被调试程序，④被调试程序全然执行起来后，⑤启动调试引擎。每启动一次新的调试都须要反复步骤①到⑤。

5、保护指定的进程不被訪问

5.1、先启动要被保护的进程，再打开保护引擎。

假设要再打开一个保护进程，则须要先停止保护引擎。打开该进程后，再开启保护引擎。

6、禁止指定的进程被创建

7、启用和恢复Windows x64系统下的驱动签名强制

8、启用和恢复全局内核回调

是否免费：免费

使用说明：

1、软件在首次启动的时候会自己主动联网下载符号表。此后不须要反复该过程。

2、因为软件没数字签名，在启动的时候会被安全软件误报，请知悉。

能够在启动的时候临时关闭相关的安全软件，在启动起来后再打开相关的安全软件就可以，或者直接将本软件加入到白名单就可以。

3、本程序启动的时候会释放驱动文件到系统文件夹进行载入。在退出的时候会删除自己释放的驱动文件，这时相关的安全软件会误报，请知悉。

4、对于进程隐藏。不管是否进行了PatchGuard。在被隐藏的进程退出之前都必须恢复该进程。另外：在没过PatchGuard的时候。在隐藏进程的20分钟内（或者更短）必须恢复被隐藏的进程，否则会导致系统蓝屏。

5、在进行软件调试的时候，先执行好本软件和调试工具（如：OD），进行相关的初始化后。再打开被调试的软件。

提示：本软件在32位的系统下会启动1个进程。在64位的系统下会启动2个进程，一个为64位的主进程，还有一个为32位的辅助进程（用于恢复32位的进程钩子用）。

作者的系统：

以下是使用教程：

多开方案3的用法（以记事本为例）：

多开方案4的用法（以记事本为例）：

进程隐藏和恢复

窗体信息的类名动态改动眼下仅支持Win7、Win8、Win8.1，眼下仅改动窗体信息1个button有效。其他还没编写。

反反调试部分

设置选项

这是Safe Debug Mode选中下的进程保护。进程句柄能够被打开，但无法对它进行读写调试等操作（x64不须要PatchGuard）

禁止指定的进程创建測试

该操作在64位系统下须要过pg（或在没过pg的情况下20分钟内操作）

PS:对于下载符号表失败的用户。通常是因为 msdia140.dll 这个控件注冊失败导致的。这时候须要你手动注冊一下该控件。如果你的解压文件夹在 E:\AptitudeSystem 2.0 解压passwordabc ，

对于64位的系统：用管理员权限执行cmd。进入到x64文件夹。执行一下该命令：regsvr32 msdia140.dll

对于32位的系统：用管理员权限执行cmd，进入到x86文件夹，执行一下该命令：regsvr32 msdia140.dll

下载地址：
http://pan.baidu.com/s/1i581bnv

技术交流群：
群1：177822108
群2：177822398